File VHD e VHDX
Il formato di file VHD (Virtual Hard Disk), originariamente introdotto con Connectix Virtual PC, può memorizzare il contenuto di un disco rigido. Alla fine, Microsoft Hyper-V ha adottato questo formato di immagine del disco. Windows 7 e i sistemi più recenti includono la possibilità di montare manualmente i file VHD. A partire da Windows 8, un utente può montare un VHD semplicemente facendo doppio clic sul file. Una volta montata, l’immagine di un disco VHD appare a Windows come un normale disco rigido collegato fisicamente al sistema. Le immagini VHDX (Virtual Hard Disk v2) sono funzionalmente equivalenti alle immagini VHD, ma includono caratteristiche più moderne, come il supporto per dimensioni maggiori e il ridimensionamento del disco.
VHD/VHDX e corruzione del file system
Dopo il fuzzing delle immagini del file system con BFF, sono riuscito a trovare diversi modi per mandare in crash Windows come risultato del montaggio di un disco corrotto. Collegare fisicamente un dispositivo di archiviazione di massa USB con un file system corrotto era l’ovvio vettore di attacco. Tuttavia, molti concetti di sicurezza sono negati quando viene concesso l’accesso fisico a un sistema. I file VHD e VHDX eliminano il requisito dell’accesso fisico a un sistema vittima. Se un utente fa semplicemente doppio clic su un file VHD o VHDX che contiene un file system appositamente creato, rischia di mandare in crash Windows o peggio, come illustrato di seguito.
Mark of the Web
Mark of the Web (MOTW) è stato introdotto in Windows XP SP2 e ha permesso a Windows di etichettare i file sul file system locale con informazioni sulla zona di sicurezza di Internet Explorer da cui i file provengono. Questa caratteristica MOTW si è evoluta per gestire sempre più tipi di file e scenari. Il tema ricorrente è che i file che provengono da Internet (ad esempio, una pagina web o una e-mail) possono essere pericolosi, e quindi dovrebbero essere trattati con più cautela.
Per esempio, a partire da Microsoft Office 2010, i documenti etichettati con un MOTW che indica che provengono da Internet vengono aperti in Microsoft Office Protected View. I documenti in Visualizzazione Protetta sono limitati in ciò che possono fare, riducendo così la superficie di attacco dei documenti potenzialmente pericolosi. Ecco cosa potrebbe vedere un utente quando apre un documento in Visualizzazione Protetta:
A partire da Windows 10, Windows Defender SmartScreen limita l’esecuzione di alcuni tipi di file se provengono da Internet. Ecco cosa potrebbe vedere un utente quando SmartScreen blocca un eseguibile non sicuro:
Come fa Windows a sapere se un file proviene da Internet? Usa il tag MOTW associato al file in questione. Se Windows Explorer o altre utility ZIP conformi vengono utilizzate per estrarre il contenuto di un file ZIP, ogni file contenuto in un file ZIP porta il MOTW del contenitore del file ZIP.
File VHD/VHDX e MOTW
Da una prospettiva di esperienza utente, a partire da Windows 8, i file VHD e VHDX possono avere una funzione simile ai file ZIP. Cioè, l’utente fa doppio clic sul file per mostrare il suo contenuto in Windows Explorer. La differenza importante è che i file contenuti in un contenitore VHD o VHDX non mantengono il MOTW del file contenitore.
Cosa significa questo dal punto di vista dell’utente finale? Qualsiasi file contenuto all’interno di un file VHD o VHDX non riceverà le stesse protezioni che Windows fornisce contro i file provenienti da Internet. Per aiutare a capire cosa significa, ho creato un video che dimostra diverse differenze tra un file con tag MOTW (in uno ZIP) e uno che non contiene il tag MOTW (in un VHD):
File VHD/VHDX e Antivirus
Non ho trovato alcuna prova che qualsiasi software antivirus attualmente distribuito scannerizzi i file contenuti in un file VHD o VHDX. Tuttavia, per coloro che gestiscono un’azienda, la mancanza della capacità di scansionare questi file lascia un punto cieco per certi file finché non arrivano all’endpoint. Se il contenuto dei file VHD e VHDX non viene analizzato dai prodotti di sicurezza per e-mail e gateway web, questi prodotti non hanno alcuna speranza di rilevare il malware contenuto nei file VHD o VHDX.
Ho creato un VHD che contiene il testfile EICAR anti malware e l’ho caricato su VirusTotal. Ecco i risultati:
Non ci sono prove che nessuno degli scanner configurati in VirusTotal abbia scansionato il contenuto di un file VHD.
File ISO e IMG
Il malware diffuso tramite file ISO è già in circolazione. Proprio come i file VHD e VHDX, il contenuto dei file ISO o IMG non porta il MOTW del file che lo contiene. E proprio come i file VHD e VHDX, a partire da Windows 8, i file ISO e IMG possono essere aperti con un doppio clic. A differenza dei file VHD e VHDX, tuttavia, c’è una maggiore possibilità che un prodotto antivirus distribuito possa rilevare il malware contenuto in un file ISO o IMG.
Ho eseguito lo stesso test EICAR di cui sopra con VirusTotal, ma questa volta il file eicar.com è stato rilevato all’interno di un file ISO. Ecco i risultati:
Mentre questi risultati non sono grandiosi, c’è almeno qualche prova che alcuni prodotti di sicurezza scansionano il contenuto di un file ISO.
Conclusione e raccomandazioni
I file VHD e VHDX possono essere pericolosi. A causa della combinazione del parsing del file system a livello di kernel e anche della mancanza di tag MOTW al loro contenuto, permettere ai file VHD o VHDX di arrivare agli endpoint aumenta il rischio presentato per quei sistemi. Le seguenti strategie possono aiutare a minimizzare questo rischio:
- Bloccare i file VHD, VHDX, IMG, e ISO ai gateway di posta elettronica.
- Sbloccare le estensioni dei file VHD, VHDX, IMG, e ISO in Microsoft Windows Explorer.
- Restriggere i file VHD, VHDX, IMG, e ISO ai gateway web. (Ci sono alcune ragioni legittime per cui questi file devono essere scaricati, quindi assicuratevi che qualsiasi restrizione non blocchi le legittime esigenze aziendali)
.